Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

検出されたランサムウェアに関するアラートに対応

共同作成者
PDF

BlueXPのランサムウェア対策で攻撃の可能性が検出されると、BlueXPのランサムウェア対策ダッシュボードと右上のBlueXP通知にランサムウェア攻撃の可能性を示すアラートが表示されます。また、Snapshotコピーの作成もすぐに開始されます。この時点で、BlueXPのランサムウェア対策*アラート*タブで潜在的なリスクを確認する必要があります。

誤検出を却下することも、データをすぐに回復することもできます。

ヒント アラートを却下すると、サービスはこの動作を学習して通常の動作に関連付け、そのような動作に対して再度アラートを開始することはありません。

データのリカバリを開始するには、ストレージ管理者がリカバリプロセスを開始できるように、アラートをリカバリ準備完了としてマークします。

各アラートには、ステータスが異なるボリューム上に複数のインシデントが存在する可能性があるため、すべてのインシデントを確認してください。

このサービスは、アラートが発行された原因に関する_evidence_という情報を提供します。これには、次のような情報が含まれます。

  • ファイル拡張子が作成または変更された場合

  • ファイルの作成が発生し、表示された割合で増加しました。

  • ファイル削除が発生し、表示された割合で増加した

アラートは、次のタイプの動作に基づいています。

  • 攻撃の可能性:Autonomous Ransomware Protectionが新しい拡張子を検出し、過去24時間に20回以上繰り返した場合にアラートが発生します(デフォルトの動作)。

  • 警告:次の動作に基づいて警告が発生します。

    • 新しい拡張の検出はこれまでに特定されておらず、同じ動作が攻撃であると宣言するのに十分な回数繰り返されません。

    • 高エントロピーが観測される。

    • ファイルの読み取り/書き込み/名前変更/削除処理で、ベースラインを超えるアクティビティが100%急増しました。

証拠は、ONTAPの自律型ランサムウェア対策の情報に基づいています。詳細については、を参照してください "Autonomous Ransomware Protection Overview"

アラートのステータスは次のいずれかになります。

  • * 新 *

  • 非アクティブ

アラートインシデントは、次のいずれかの状態に分類されます。

  • 新規:すべてのインシデントは、最初に識別されたときに「新規」とマークされます。

  • 却下:アクティビティがランサムウェア攻撃ではないと疑われる場合は、ステータスを「却下」に変更できます。

    注意 攻撃を却下した後は、これを元に戻すことはできません。ワークロードを却下すると、ランサムウェア攻撃の可能性に応じて自動的に作成されたすべてのSnapshotコピーが完全に削除されます。

  • 却下:インシデントは却下中です。

  • 解決済み:インシデントが軽減されました。

アラートを表示します

アラートには、BlueXP  ランサムウェア対策ダッシュボードまたは*アラート*タブからアクセスできます。

手順

  1. BlueXPランサムウェア対策ダッシュボードで、[Alerts]ペインを確認します。

  2. いずれかのステータスの*[すべて表示]*を選択します。

  3. アラートをクリックすると、各アラートの各ボリュームのすべてのインシデントを確認できます。

  4. その他のアラートを確認するには、左上のパンくずリストにある* Alert *をクリックします。

  5. [Alerts]ページでアラートを確認します。

    "[Alertsページ"]

  6. 次へ:

悪意のあるアクティビティや異常なユーザ行動を検出

[Alerts]タブでは、悪意のあるアクティビティがあるかどうかを確認できます。表示される詳細は、アラートがトリガーされた方法によって異なります。

  • ONTAPの自律型ランサムウェア対策機能によってトリガーされる。これにより、ボリューム内のファイルの動作に基づいて悪意のあるアクティビティが検出されます。

  • データインフラの分析情報ワークロードのセキュリティがトリガーこれには、Data Infrastructure Insights Workload Securityのライセンスが必要であり、BlueXP  ランサムウェア対策で有効にする必要があります。この機能を使用すると、ストレージワークロードの異常なユーザ動作を検出し、そのユーザによる以降のアクセスをブロックできます。

    BlueXP  ランサムウェア対策でワークロードセキュリティを有効にするには、[設定]*ページに移動し、[ワークロードセキュリティ接続]*オプションを選択します。

    Data Infrastucture Insights Workload Securityの概要については、 "ワークロードセキュリティについて"

ヒント データインフラワークロードセキュリティのライセンスをお持ちでなく、BlueXP  ランサムウェア対策で有効にしていない場合、ユーザの異常な行動情報は表示されません。

悪意のあるアクティビティが発生すると、アラートが生成され、Snapshotが自動作成されます。

自律型ランサムウェア対策のみによる悪意のあるアクティビティを表示

BlueXP  ランサムウェア対策でAutonomous Ransomware Protectionがアラートをトリガーすると、次の詳細を確認できます。

  • 受信データのエントロピー

  • 検出された割合と比較した新しいファイルの予想作成率

  • 検出された割合と比較したファイルの予想削除率

  • ファイルの予期される名前変更速度と検出された速度の比較

手順

  1. BlueXPのランサムウェア対策メニューから、*アラート*を選択します。

  2. アラートを選択します。

  3. アラートのインシデントを確認します。

    アラートインシデントページ

  4. インシデントを選択して、インシデントの詳細を確認します。

    インシデントの詳細ページ

Data Infrastructure Insights Workload Securityでユーザの異常な行動を確認

データインフラのインサイトワークロードセキュリティがBlueXP  ランサムウェア対策でアラートをトリガーすると、データインフラのインサイトワークロードセキュリティで、疑わしいユーザの表示、ユーザのブロック、ユーザアクティビティの調査を直接行うことができます。

ヒント これらの機能は、Autonomous Ransomware Protectionの詳細情報に加えて提供されています。
作業を開始する前に

このオプションを選択するには、Data Infrastructure Insights Workload Securityのライセンスが必要であり、BlueXP  ランサムウェア対策で有効にする必要があります。

BlueXP  ランサムウェア対策でワークロードセキュリティを有効にするには、次の手順を実行します。

  1. [設定]ページに移動します。

  2. [ワークロードセキュリティ接続]*オプションを選択します。

    詳細については、を参照してください "BlueXPのランサムウェア対策の設定"

手順

  1. BlueXPのランサムウェア対策メニューから、*アラート*を選択します。

  2. アラートを選択します。

  3. アラートのインシデントを確認します。

    ワークロードセキュリティの詳細が表示されたアラートインシデントページ

  4. BlueXP  によって監視されている環境で、疑わしいユーザがそれ以上アクセスできないようにするには、*[ユーザをブロック]*リンクを選択します。

  5. アラートまたはアラート内のインシデントを調査します。

    1. [Data Infrastructure Insights Workload Security]でアラートをさらに調査するには、[Investigate in Workload Security]リンクを選択します。

    2. インシデントを選択して、インシデントの詳細を確認します。

      ワークロードセキュリティの詳細が表示されたインシデントの詳細ページ

      [Data Infrastructure Insights Workload Security]が新しいタブで開きます。

    ワークロードセキュリティの調査

ランサムウェアのインシデントをリカバリ準備完了としてマーク(インシデントが無力化された後)

攻撃を軽減し、ワークロードをリカバリできる状態になったら、ストレージ管理チームにデータのリカバリ準備ができていることを伝え、リカバリプロセスを開始できるようにします。

手順

  1. BlueXPのランサムウェア対策メニューから、*アラート*を選択します。

    "[Alertsページ"]

  2. [アラート]ページで、アラートを選択します。

  3. アラートのインシデントを確認します。

    アラートインシデントページ

  4. インシデントをリカバリする準備ができていると判断した場合は、*[リストアが必要であることをマークする]*を選択します。

  5. 操作を確認し、*[リストアが必要なマークを付ける]*を選択します。

  6. ワークロードのリカバリを開始するには、メッセージで*ワークロードを選択するか、[リカバリ]*タブを選択します。

結果

アラートがリストア対象としてマークされると、アラートは[Alerts]タブから[Recovery]タブに移動します。

攻撃の可能性がないインシデントを却下する

インシデントを確認したら、インシデントが潜在的な攻撃かどうかを判断する必要があります。そうでない場合は、それらを却下することができます。

誤検出を却下することも、データをすぐに回復することもできます。アラートを却下すると、サービスはこの動作を学習して通常の動作に関連付け、そのような動作に対して再度アラートを開始することはありません。

ワークロードを却下すると、ランサムウェア攻撃の可能性に応じて自動的に作成されたすべてのSnapshotコピーが完全に削除されます。

注意 アラートを却下すると、そのステータスを他のステータスに戻すことはできず、この変更を元に戻すこともできません。
手順

  1. BlueXPのランサムウェア対策メニューから、*アラート*を選択します。

    "[Alertsページ"]

  2. [アラート]ページで、アラートを選択します。

    アラートインシデントページ

  3. 1つ以上のインシデントを選択します。または、テーブルの左上にある[インシデントID]ボックスを選択して、すべてのインシデントを選択します。

  4. インシデントが脅威ではないと判断した場合は、誤検出として却下します。

    • インシデントを選択します。

    • テーブルの上にある*[ステータスの編集]*ボタンを選択します。

      "[Alert Edit Statusページ"]

  5. [ステータスの編集]ボックスで、*[却下]*ステータスを選択します。

    ワークロードと削除するSnapshotコピーに関する追加情報が表示されます。

  6. [ 保存( Save ) ] を選択します。

    インシデントのステータスが「却下」に変わります。

影響を受けるファイルのリストを表示する

アプリケーションワークロードをファイルレベルでリストアする前に、影響を受けるファイルのリストを表示できます。[アラート]ページにアクセスして、影響を受けるファイルのリストをダウンロードできます。次に、[Recovery]ページを使用してリストをアップロードし、復元するファイルを選択します。

手順

[アラート]ページを使用して、影響を受けるファイルのリストを取得します。

ヒント ボリュームに複数のアラートがある場合は、各アラートの影響を受けるファイルのCSVリストのダウンロードが必要になることがあります。

  1. BlueXPのランサムウェア対策メニューから、*アラート*を選択します。

  2. [アラート]ページで、ワークロードで結果をソートして、リストアするアプリケーションワークロードのアラートを表示します。

  3. そのワークロードのアラートのリストからアラートを選択します。

  4. そのアラートでは、インシデントを1つ選択します。

    特定のアラートの影響を受けるファイルのリスト

  5. そのインシデントのダウンロードアイコンを選択し、影響を受けるファイルのリストをCSV形式でダウンロードします。